- O TeamPCP explorou uma única credencial roubada para obter acesso de gravação a repositórios de software confiáveis, injetar malware de coleta de credenciais e se espalhar por cinco ecossistemas em cinco dias.
- Credenciais roubadas podem permitir o redirecionamento da folha de pagamento, o redirecionamento de frete e a extorsão – campanhas ativas que o Insikt Group está monitorando e que mostram como uma violação da cadeia de suprimentos de software pode rapidamente se tornar uma crise nas operações de negócios.
- Saiba por que um inventário de seus componentes de software não é suficiente quando código malicioso é injetado após a confirmação da fonte e qual é a defesa verdadeiramente eficaz — combinando a devida diligência de terceiros. assinatura criptográfica e detecção de anomalias orientada por IA – realmente requer.
Em março de 2026, um grupo que se autodenomina TeamPCP comprometeu o LiteLLM (um pacote Python com aproximadamente 97 milhões de downloads mensais usado por milhares de organizações para se conectar a serviços de IA) e Checkmarx (uma das plataformas de testes de segurança de aplicativos mais utilizadas no planeta). Como eles entraram não foi confirmado publicamente. Mas o resultado foi acesso de gravação a um repositório de software confiável.
A partir daí, eles injetaram uma carga útil de coleta de credenciais no software e envenenou dois fluxos de trabalho Checkmarx GitHub Actions. O malware foi executado silenciosamente durante a instalação, coletando chaves de acesso, credenciais de nuvem, segredos e (a mais cruel ironia) todas as chaves de API de IA que o LiteLLM foi projetado especificamente para gerenciar. Os dados roubados foram criptografados e depois enviados para um domínio semelhante.
E aqui está a parte que deve te manter acordado à noite: esta foi uma campanha, feita por um grupo, em uma semana. As consequências a jusante ainda estão em curso.
Identidade é o perímetro (e a superfície de ataque)
A linha mestra da campanha TeamPCP é a identidade. Comece a terminar.
Resumo de inteligência do TeamPCP cortesia de Recorded Future.
Ninguém confirmou publicamente exatamente como o TeamPCP obteve acesso ao repositório do mantenedor do LiteLLM, mas o vetor mais provável são credenciais roubadas. Futuro gravado inteligência de identidade contém quase 1 milhão de credenciais de desenvolvedor GitHub comprometidas, coletadas por infostealers e vendidas em mercados da dark web. Um único token de publicação ou chave de acesso, retirado de uma infecção anterior e deixado sem rotação, teria sido suficiente. O compromisso anterior do TeamPCPs de Curiosidades da Aqua Security infraestrutura no final de fevereiro (onde rotação de credenciais incompleta deixou acesso residual aberto por semanas) demonstra exatamente esse padrão: um token roubado, uma rotação perdida e a porta permanece aberta.
Qualquer que seja o mecanismo preciso, o TeamPCP usou credenciais válidas para enviar código malicioso para repositórios confiáveis. Nenhum firewall para contornar. Nenhum endpoint para explorar. Apenas um login válido e a confiança implícita que o acompanha.
Então a própria carga foi projetada para roubar mais identidades. Cada ambiente comprometido gerou credenciais que desbloquearam o próximo alvo. Trivy levou ao GitHub Actions. Ações do GitHub levaram a quatro ecossistemas adicionais de distribuição de software. Uma resposta incompleta a incidentes criou uma cadeia de comprometimentos em cascata em cinco ecossistemas em cinco dias.
Este é o problema do gerenciamento de identidade e acesso expresso da forma mais clara possível: se o perímetro é identidade, então cada credencial roubada é uma brecha na parede. E, diferentemente de uma regra de firewall, uma credencial roubada não aciona um alerta. Simplesmente funciona.
Nós escreveu anteriormente sobre como as vulnerabilidades de desserialização têm atormentado o software empresarial há mais de uma década. O padrão é sempre o mesmo: confiar em informações nas quais não se deve confiar. Os ataques à cadeia de abastecimento são o equivalente organizacional. Confiamos nos pacotes que instalamos. Confiamos nos pipelines que construímos. Confiamos nas ferramentas de segurança que implantamos. O TeamPCP explorou todas as camadas dessa confiança, começando com uma única identidade comprometida.
O impacto não é apenas ransomware
EquipePCPs' O canal do Telegram faz referência ao site de uma vítima de ransomware. O grupo parece operar como afiliado de ransomware e discutiu publicamente a extorsão de empresas ao ameaçar liberar mais de 300 GB de dados roubados. Relatórios indicam uma possível colaboração com o grupo de extorsão Lapsus$. Ransomware é a jogada óbvia.
Resumo de inteligência CipherForce cortesia de Recorded Future.
Mas o ransomware é apenas o impacto mais visível. A questão mais perigosa é: o que mais você pode fazer com mais de um milhão de credenciais de nuvem, chaves de API e tokens de contas de serviço roubados?
A resposta, baseada no que Grupo de insights está rastreando várias campanhas não relacionadas, é muito mais amplo do que criptografia e extorsão.
Redirecionar folha de pagamento. No final do ano passado (2025), o Grupo Insikt estava a monitorizar a actividade em torno de uma campanha chamada “Swiper”, dirigida por prováveis actores de língua russa que criaram infra-estruturas de phishing, fazendo-se passar por grandes instituições financeiras e prestadores de serviços de folha de pagamentos. As credenciais roubadas foram transmitidas em tempo real, permitindo aos atores alterar contas de depósito direto e redirecionar pagamentos antes que alguém percebesse. O ator responsável foi identificado através de uma disputa em um fórum criminale sua carteira de criptomoeda processou mais de 7.000 transações. Esta foi uma operação de roubo de credenciais que converteu o comprometimento da identidade diretamente em roubo financeiro. Agora imagine esse mesmo manual amplificado por um ataque à cadeia de fornecimento que coleta credenciais de plataforma de folha de pagamento em grande escala.
Redirecione as remessas. Separadamente, o Grupo Insikt identificou o TAG-160, um grupo ameaçador que visa o setor de logística e transporte dos EUA. O TAG-160 se faz passar por empresas de logística, envia confirmações de tarifas fraudulentas por meio de e-mails de phishing e fornece malware de acesso remoto. Mas o TAG-160 também foi apanhado a executar “golpes de corretagem dupla”, onde se fazem passar por um transportador legítimo, obtêm detalhes válidos da carga de um corretor real e depois publicitam novamente a carga sob o nome do corretor para contratar um transportador diferente. A transportadora legítima movimenta a carga. O ator da ameaça recebe o pagamento. A verdadeira operadora nunca é paga. Um segundo grupo de ameaças não relacionado tem como alvo empresas de logística alemãs com um manual semelhante.
Estes não são cenários teóricos. São campanhas ativas executadas em paralelo com os compromissos da cadeia de abastecimento do TeamPCP. E o denominador comum entre todos eles é o roubo de credenciais e o abuso de identidade.
No cinco categorias de impacto de risco que usamos como estrutura para traduzir ameaças cibernéticas em riscos comerciais, o compromisso TeamPCP abrange cada um deles: interrupção operacional (ransomware, bloqueio de sistema), fraude financeira (redirecionamento de folha de pagamento, fraude de corretagem dupla, pagamentos de extorsão), desvantagem competitiva (credenciais, segredos comerciais, PII), comprometimento da marca (clientes aprendendo que suas ferramentas de segurança eram o vetor) e consequências legais e de conformidade (obrigações de notificação de violação, responsabilidade potencial por impactos posteriores).
A tendência é categorizar os ataques à cadeia de abastecimento como um “problema de ferramenta de segurança” ou um “problema do desenvolvedor”. Não é nenhum dos dois. É um problema de risco empresarial cujo raio de ação se estende desde as operações de TI, passando pela folha de pagamento, passando pela logística até a sala de reuniões.
As organizações devem perguntar como podem usar a análise orientada por IA para verificar continuamente a integridade de cada pacote e construir artefatos que entram em seus sistemas de produção. Isso significa comparar pacotes distribuídos com seus repositórios de origem para detectar código injetado. Significa analisar atualizações para sinalizar mudanças anômalas no comportamento. Significa verificação automatizada de proveniência que rastreia o software desde a origem até a distribuição, sinalizando quebras na cadeia.
Mas a campanha TeamPCP expôs uma verdade que a indústria tem demorado a internalizar: as próprias ferramentas de segurança são alvos. O TeamPCP escolheu especificamente um scanner de vulnerabilidades e uma plataforma de segurança de aplicativos porque essas ferramentas têm o acesso mais amplo a credenciais e infraestrutura. Comprometer a ferramenta que verifica seu código é o cenário definitivo de raposa no galinheiro.
As organizações que enfrentarão esta era de riscos na cadeia de suprimentos serão aquelas que tratarão a verificação da integridade do código como um processo contínuo, automatizado e aprimorado por IA, em vez de uma auditoria periódica.
E daí. E agora?
TeamPCP não está pronto. O canal Telegram deles afirma explicitamente que a operação ainda está em andamento e eles afirmam estar trabalhando com novos parceiros para monetizar dados roubados em grande escala.
Para os líderes de segurança, as ações imediatas são diretas: se sua organização usa LiteLLM, Trivy ou Checkmarx GitHub Actions, assuma o compromisso e alterne todas as credenciais nos sistemas afetados. Audite seus pipelines de software em busca de alterações não autorizadas. Fixar dependências de software como verificadas, versões imutáveis.
Mas a lição a longo prazo é mais fundamental. Os ataques à cadeia de suprimentos convertem o modelo de confiança do desenvolvimento de software moderno em uma superfície de ataque. Os pacotes que você instala, as ferramentas que você executa, os pipelines que você constrói: não são infraestruturas neutras. Eles são vetores. E a credencial roubada hoje de um pacote de software comprometido pode aparecer amanhã como um redirecionamento de folha de pagamento, uma remessa redirecionada ou uma demanda de ransomware.
As chaves do seu reino estão espalhadas por cada gerenciador de pacotes, cada token de automação e cada conta de serviço em seu ambiente. Alguém os está coletando. E a violação da sua cadeia de suprimentos já é o pagamento de outra pessoa.
Como o futuro registrado ajuda
A campanha TeamPCP deixou sinais em todas as fases. Três capacidades do Recorded Future falam diretamente sobre esta ameaça:
- Inteligência de Identidade — monitora registros de infostealer, mercados da dark web e despejos de credenciais em tempo real, detectando automaticamente credenciais de funcionários comprometidas e acionando resposta imediata — incluindo quase um milhão de credenciais de desenvolvedor GitHub comprometidas já no conjunto de dados do Recorded Future.
- Grupo de insights – analistas de elite com profunda experiência em governo, aplicação da lei e agências de inteligência que produziu as pesquisas TeamPCP, Swiper, TAG-160 e CipherForce neste blog. Os clientes veem as ameaças à medida que elas se desenvolvem, e não depois de chegarem às manchetes.
- Risco de Terceiros — monitora continuamente os fornecedores em busca de atividades de extorsão de ransomware, indicadores de violação e vazamentos de credenciais, substituindo questionários pontuais por visibilidade em tempo real em toda a sua cadeia de suprimentos.
